J

aka jest sytuacja z wydatkami na bezpieczeństwo, gdy bezpieczeństwo gospodarki i jej budżet słabnie? Przeprowadzone niedawno badanie opinii publicznej wśród firm trudniących się w branży bezpieczeństwa elektronicznego na tegorocznej konferencji RSA dowiodło, że pomimo ogólnych trudności gospodarczych wielu krajów – budżety firm zatrudniających firmy związane z bezpieczeństwem pozostają stabilne – czy rzeczywiście?

Podczas konferencji zostało przepytanych trzystu ankietowanych. Rezultaty tego badania przynoszą pozytywne wyniki w stosunku do bezpieczeństwa jako środka inwestycji dla wielu firm. Dwie trzecie respondentów przyznało, że pomimo trudności związanych z budżetem firmowym czy gospodarką kraju, z którego pochodzą – wydatki związane z bezpieczeństwem nie zostały w żaden sposób ograniczone. Oznacza to, że grupa około 33% odczuła przeciwny efekt. Oczywiście do podobnych badań należy odnosić się ze szczyptą rezerwy – powołując się tutaj na słowa z Wielkiej Księgi Mądrości – „są trzy rodzaje kłamstw: kłamstwa, cholerne kłamstwa i statystyki”. Tak swobodnie przeprowadzona sonda jest mało inspirująca do tego by nie zagłębić się w temat, gdy przychodzi moment wyboru pomiędzy tym, co niezbędne, a tym co bezpieczne. Wyjściową tezą będzie fakt, iż wiele firm i organizacji nie przywiązuje zbyt dużej wagi do bezpieczeństwa nawet, gdy ich budżet pozostaje w równej linii przychodów, więc z jakiej racji by oni mieli zmienić swoje nastawienie, podczas powolnego ograniczania środków – sprawa wygląda irytująco.

Pomijając fakt geograficznych granic, które w przypadku podłączenia do Internetu nie mają większego znaczenia – oprócz faktu, że różne przepisy prawne regulują zaniedbania przepisów bezpieczeństwa – możemy odnieść się do tego problemu globalnie. Z roku na rok wydatki związane z bezpieczeństwem internetowym wzrastają. Wynika to z faktu, że coraz nowsze technologie wypychają na rynek masowy ich starsze odpowiedniki. Komputery starszych generacji potrafiące w pełni obsłużyć dobra dzisiejszych łącz internetowych (których cena także diametralnie spada) mieszczą się w zasięgu portfela coraz większej ilości społeczeństwa. Dodajmy do tego fakt, iż większość z tych ludzi dopiero zaczyna swoją przygodę z wirtualnym światem. Wkładając to wszystko do pojemnika, gdzie z dnia na dzień zostają mieszane coraz nowsze techniki ataków, z którymi czasami nie mogą sobie poradzić pionierzy w dziedzinie ochrony, a co dopiero rasowi newbie.

Obok pojemnika sektora publicznego postawmy wcześniej napiętnowany zbiornik firm i organizacji, którzy bezpieczeństwo traktują jako zło ostateczne, a nie standard równy zapewnieniu klimatyzowanemu pomieszczeniu w miejscu pracy – otrzymujemy gotowy wzór na główne inwestycje rynku bezpieczeństwa, w którym jest tak wielka luka, że same inwestycje z nim związane są same w sobie bezpieczne, lecz ograniczane poprzez jeszcze zbyt mały poziom świadomości społecznej. Doskonałym przykładem pierwszego zjawiska jest nasza, własna ojczyzna. W dobie problemów gospodarczych, bezpieczeństwo jest ostatnim zjawiskiem, o którym myśli się w naszym rządzie, nie wspominając już o bezpieczeństwie elektronicznym (czego dowodem są nadal liczne włamania na serwery rządowe). Rozwiązaniem wydaje się adaptowanie różnych standardów i norm, które tak jak w przypadku przepisów BHP i PPOŻ w budynkach czy punktach krytycznych na okresowych przeglądach samochodów – nie dopuszczają do użytku obiektów nie spełniających określonych kryteriów. Pomimo, że odpowiednie ustawodawstwo jest kluczem do ustanowienia potwierdzenia jakiegoś poziomu uległości związanej z bezpieczeństwem, to wymagana jest także ostrożna manipulacja jego poziomem, ponieważ zbyt wysokie wymagania mogą zapętlić podstawowe założenia.

Bezpieczeństwo ma być procesem co najmniej traktowanym na równi z innymi wdrożeniami (w normalnych warunkach stać na pierwszym miejscu). Poprzez nałożenie zbyt jego wysokiego poziomu, zmusimy tym samym do przeznaczenia zbyt dużej części budżetu firmy czy organizacji na ten cel, co spowoduje że będzie ono traktowane na końcu łańcucha problemów, z którymi należy się uporać. Niższy poziom bezpieczeństwa jest lepszy niż żaden, a zachowanie odpowiedniej proporcji pomiędzy jego miejscem w budżecie w przyszłości może zaowocować stopniowym jego podnoszeniem. Jeśli sam rząd zbuduje bezpieczeństwu informacji poświadczenie dla standardowych wymogów, to z pewnością pomoże to także łańcuchowi poszczególnych firm współpracujących z rządem. Drastycznie to wpływanie również na podniesienie społecznej świadomości, która z roku na rok będzie potrzebować mniejszej części budżetu.

Felieton ten pochodzi z magazynu: Xploit Nr 03/2008